美团点评安全应急响应中心MDSRC漏洞及威胁情报处理-美团网.PDFVIP

美团点评安全应急响应中心 （MDSRC ） 漏洞及威胁情报处理标准 V4.0 亲爱的白帽子们： 2018 年 5 月 8 日我们对现有的漏洞及威胁情报标准进行了更新，详情见下文： 一、目的 美团点评安全应急响应中心（后述简称 ：MDSRC ）致力于解决属于本公司产品或服务中存在的 安全漏洞。本则标准描述了 MDSRC 处理安全漏洞报告时的具体流程和做法，同时公示了对于 不同类型漏洞的奖励标准，为漏洞发现者及漏洞报告者从事漏洞发现和报告的活动提供指引。 二、适用范围 属于美团点评集团资产且开放在互联网的应用系统，包括： *.、*.、*.、*. 等。 三、版本信息 有效版本：美团点评安全应急响应中心（MDSRC ）漏洞及威胁情报处理标准V4.0 MDSRC 将定期对本标准进行评估，并根据评估结果进行调整。版本的更新情况我们将通过 “美 团点评安全应急响应中心微信公众号”予以告知。 四、限制与指引 MDSRC 鼓励安全研究人员积极发现并向我们报告属于我司产品或服务中的安全漏洞，但同时希 望您的行为遵循以下要求： 1 ）请您不要在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞。 3 ）请您不要进行网络拒绝服务（DoS 或 DDoS ）测试。 4 ）请您不要进行物理测试、社会工程学测试或任何其他非技术漏洞测试。 5 ）请您尽量避免访问任何存储在我司信息系统内的数据，除非访问该数据为验证安全漏洞存在 的必要步骤。如您在本原则允许的测试过程中发现以下信息，请立即停止测试并及时通知我们： a ）个人识别信息； b) 金融信息（信用信息或银行账户号码信息等）； c) 企业的财产信息或商业秘密； 6 ）请您不要在任何情况下泄露漏洞测试过程中所获知的任何数据。 7 ）在收到我司的明确书面授权之前，请不要公开披露或提供关于我司产品或服务安全漏洞的任 何细节信息。如您无法确定能否继续进行测试，请与我们联系。 8 ）我们反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害美团点评系统及用户 的利益的攻击行为，我们保护追究法律责任的权利。 五、漏洞提交与处理流程 1. 漏洞提交：漏洞报告者可以通过 MDSRC 平台（ ）注册并提 交漏洞，也可以发送邮件到 security@ ，请在邮件主题注明 “漏洞提交” ，包括 但不限于 ：漏洞的位置及潜在危害，复制该漏洞所需的步骤、脚本、保护解析代码，重现该问题 的技术相关信息，可能的解决措施等。为确保信息的机密性，我们希望，当您向我们发送的电子 邮件涉及敏感信息时，对该信息进行加密处理。 2. 漏洞处理流程： 一个工作日内：我们会及时处理白帽子提交的漏洞信息。 三个工作日内 ：完成漏洞的确认、定级、及奖励金额评测。一旦提交的漏洞被确认，漏洞提交者 可以收到相对应的积分及安全币发放，积分可影响 MDSRC 年度榜单排名，安全币则可用于兑 换 MDSRC 平台上的所有礼品。 3. 我们希望所有白帽子在闲暇时可以多陪陪家人，好好爱护自己的身体，基于此我们制定白帽 关怀规则 ： 1 ）工作日9 ：00-24 点提交漏洞并确认的，安全币及积分奖励上浮 20% 2 ）周末20:00-23:00 点提交漏洞并确认的，安全币及积分奖励上浮 20% 六、有效漏洞奖励标准 针对漏洞提交及漏洞确认有效的贡献者，MDSRC 将给予奖励。 我们采用安全币作为漏洞奖励单位，按资产的重要性及漏洞影响来计算安全币： 【核心业务】包括：美食、外卖、酒店、机票/火车票、内信 【一般业务】包括 ：猫眼电影、休闲娱乐、丽人、结婚、亲子、周边游、运动健身、购物、家装、 学习培训、生活服务、医疗健康、爱车、宠物、洒吧/密室逃脱 不同的安全漏洞和威胁情报，安全币发放不同（注：1 安全币 =5 人民币）： 【漏洞额外奖励】： 凡是已经确认的有效漏洞所影响的系统为核心应用且漏洞等级为严重，提交人可向 SRC 运营人 员申请此奖励，申请后我们会结合业务方建议，对该严重漏洞进行二次综合评定，视情况发放价 值在 400-2000 的安全币。 【不接受的漏洞范围】： 以下范围的安全漏洞，我们可能会忽略或酌情给予奖励： 1. 对于利用条件异常苛刻或无法利用的安全漏洞。 2. 对于已由其他白帽子或公司内部提前知晓的漏洞。 七、漏洞评级标准 漏洞严重性分级： 【严重 】 1、直接获取系统权限的漏洞。包括但不仅限于利用命令执行、代码执行、植入 Webshell、SQL 注入获取系统权限、缓冲区溢出等各类可以获取系统权限的漏洞。 2、直接导致业务系统拒绝服务的漏洞。包括但不仅限于